分散型金融(DeFi)プラットフォームのレディアント・キャピタルは、10月に発生した5000万ドル流出したハッキング事件について、攻撃が請負業者を装った北朝鮮ハッカーによるものだったと発表した。
レディアントは12月6日のアップデートで、契約しているサイバーセキュリティ企業マンディアントが「この攻撃は北朝鮮の脅威アクターによるものであると高い確信を持って評価している」と報告した。
によれば、レディアントの開発者は9月11日に「信頼できる元請負業者」から新しいプロジェクトへのフィードバックを求めるテレグラムメッセージを受け取った。「このメッセージは、元請負業者を装った北朝鮮に関連する脅威アクターからのものであると疑われている」という。このZIPファイルは他の開発者間でフィードバックのために共有された際、最終的にその後の侵入を容易にするマルウェアを広めることになった。
10月16日、ハッカーが複数の署名者のプライベートキーとスマートコントラクトを掌握され、レディアントは貸出市場を停止せざるを得なかった。
レディアントは、このファイルが疑念を引き起こさなかった理由として「PDFのレビュー依頼はプロフェッショナルな環境では日常的であり、開発者はこの形式で頻繁に文書を共有している」と述べた。また、ZIPファイルに関連するドメインは契約者の正当なウェブサイトを偽装していたという。
攻撃中、複数のレディアント開発者デバイスが侵害され、フロントエンドインターフェースは無害な取引データを表示しつつ、背景で悪意のある取引が署名されていた。
「従来のチェックとシミュレーションでは明らかな矛盾が見られず、通常のレビュー段階では脅威はほぼ見えなかった」とレディアントは付け加えた。「この攻撃は非常に巧妙に行われたため、レディアントの標準的なベストプラクティスである、Tenderlyでの取引シミュレーション、ペイロードデータの検証、業界標準のSOPの各ステップに従っても、攻撃者は複数の開発者デバイスを侵入することができた」とレディアントは書いている。
ハッカーが使用したおとりPDFファイルの例 Source: Radiant Capital
レディアントキャピタルは、この脅威アクターが「UNC4736」(別名「シトリンスリート」)と呼ばれている、北朝鮮ハッカー集団ラザルスグのサブクラスターであると考えている。
ハッカーは10月24日に事件から盗まれた資金の約5200万ドルを移動させた。「この事件は、厳格なSOP、ハードウェアウォレット、Tenderlyのようなシミュレーションツール、慎重な人間のレビューでさえ、高度に進化した脅威アクターによって回避される可能性があることを示している」とレディアントは述べている。「盲目的な署名と偽装可能なフロントエンド検証に依存することは、取引ペイロードのデコードと検証のためのより強力なハードウェアレベルのソリューションの開発を要求している」と付け加えた。
レディアントが攻撃されたのはこれが初めてではない。プラットフォームは1月に450万ドルのフラッシュローン攻撃を受け、貸出市場を停止した。DefiLlamaによれば、今年の2回の攻撃の後、レディアントの総ロック価値は昨年末の3億ドルから、12月9日時点で約581万ドルに大幅に減少している。
仮想通貨取引所ビットゲット(Bitget) がDOGE100枚&BGB100枚プレゼントキャンペーンを開催!最大で6000円相当のDOGEと24400円相当のBGBを獲得可能【12月最新】